카스퍼스키 “AI 캐리커처, 사이버 범죄에 악용 가능성 높아”

카스퍼스키(한국 대표 이효은)는 인공지능(AI) 캐리커처·애니메이션 제작 도구에 개인 맥락 정보를 입력하는 행위가 신원 사칭과 사회공학 공격으로 이어질 수 있다고 14일 밝혔다.

카스퍼스키에 따르면, 최근 소셜미디어에서는 개인 사진과 함께 직업, 일상, 가족관계, 취미 같은 정보를 넣어 AI로 캐리커처나 일러스트를 만드는 흐름이 확산하고 있다. 인스타그램, 틱톡, 링크드인 등에서 사무실에서 일하는 모습이나 가족과 함께 있는 모습, 직업을 반영한 이미지가 자주 공유된다는 설명이다.

카스퍼스키는 이 과정에서 이용자가 단순히 사진 한 장만 올리는 것이 아니라, 자신을 설명하는 맥락 정보까지 함께 제공한다는 점을 위험 요소로 짚었다. 회사 이름, 직책, 도시, 생활 패턴, 가족 정보 같은 데이터가 결합되면 상세한 디지털 프로필이 만들어지고, 이는 공격자가 더 정교한 사기 시나리오를 짜는 재료가 될 수 있다는 것이다.

이런 정보는 특히 개인 맞춤형 피싱에 악용될 가능성이 크다. 공격자가 피해자의 직장, 직책, 가족 구성원 같은 정보를 사전에 알고 접근하면 메시지 신뢰도가 높아지고, 민감한 정보나 금전을 요구하는 사기 시도에 속을 가능성도 커진다. 카스퍼스키는 이미지와 텍스트, 맥락 정보가 함께 쌓일수록 습관, 인간관계, 자주 가는 장소, 업무 역할까지 드러날 수 있다고 설명했다.

플랫폼에 남는 데이터 범위도 변수다. 카스퍼스키는 서비스 운영 방식과 개인정보 처리방침에 따라 원본 사진, 프롬프트, 사용 기록뿐 아니라 인터넷 프로토콜(IP) 주소, 기기 정보, 상호작용 패턴 같은 기술 정보도 함께 저장될 수 있다고 밝혔다. 일부 데이터는 서비스 개선이나 AI 모델 훈련 목적으로 일정 기간 보관될 수 있어, 이용자가 생각하는 것보다 정보가 더 오래 남을 수 있다는 설명이다.

카스퍼스키는 이런 위험이 아시아태평양 지역에서 더 두드러질 수 있다고 봤다. 회사는 이 지역 전문가의 주간 AI 사용 비율이 78%로 글로벌 평균 72%보다 높다고 제시했다. 반면 기술 이해도 차이로 사회공학이나 피싱 공격에 더 취약할 수 있다고 덧붙였다.

아드리안 히아 카스퍼스키 아시아태평양 총괄 사장은 “무해한 놀이처럼 보일 수 있지만, 자신에 대한 상세 정보를 AI에 입력하는 행위는 공격자에게 정교한 사회공학 공격의 설계도를 넘겨주는 것과 비슷하다”고 말했다.

카스퍼스키는 위험을 줄이려면 프롬프트에 본명, 직책, 회사명, 도시, 주소, 일정 같은 식별 정보를 넣지 말고, 로고나 차량 번호판, 건물 외관처럼 소속이나 위치를 추정할 수 있는 요소가 담긴 사진도 올리지 않는 편이 좋다고 권고했다. 또 가족 정보나 미성년자 이미지를 함께 공개하는 행위도 피해야 하며, 서비스를 쓰기 전에는 개인정보 처리방침과 보관 기간, 데이터 활용 목적을 확인해야 한다고 밝혔다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network